Отрицание, торг, принятие: как не получить штраф по закону импортозамещения и перейти на российское ПО безболезненно

Вопрос импортозамещения в ИТ-сфере и перехода с иностранных решений на российский софт становится острее. Времени остаётся всё меньше, а регуляторы отказываются сдвигать сроки выполнения указов. Особенно стоит поторопиться объектам критической информационной инфраструктуры (далее – КИИ), которые до 1 сентября 2025 года должны полностью перейти на отечественное программное обеспечение (ПО). Некоторые операторы персональных данных тоже подпадают под действие данного закона.

В этой статье мы расскажем, какие риски ждут тех, кто не успеет уложиться в указанный период, как службы каталогов влияют на безопасность сетевой инфраструктуры и почему вам стоит обратить внимание на MULTIDIRECTORY.

Начнём с самого начала… О законе импортозамещения

30 марта 2022 года был подписан Указ Президента России № 166. Этот документ запустил процесс импортозамещения в сфере программного обеспечения, а также запретил госкомпаниям покупать иностранное ПО для использования на объектах КИИ. Главная цель указа – минимизировать риски, связанные с зависимостью от зарубежных технологий, обеспечить суверенитет и защищённость  российской информационной инфраструктуры от внешних угроз, которые могут быть как случайными, так и целенаправленными.

Куда более жёсткие ограничения вступили в силу 1 января 2025 года. Использование средств защиты информации (СЗИ), произведённых в  недружественных странах, стало запрещённым. В список недружественных  государств, определённый Распоряжением Правительства от 05.03.2022 № 430-Р, входят: Европейский Союз, США, Япония, Великобритания и Республика Корея. Под запретом стала не только закупка иностранного ПО из недружественных стран, но и любое его применение в производственном процессе. Это означает, что все ранее установленные иностранные программы должны быть заменены на российские аналоги.

Процесс перехода оказался крайне сложным, требующим значительных финансовых и временных затрат, а также поиска и адаптации отечественного ПО, которое по функциональности и надёжности должно соответствовать иностранным аналогам.

Кого затронет закон по импортозамещению

Указ № 166 устанавливает правила для широкого круга организаций. Они касаются, прежде всего, государственных структур и компаний с государственным участием.

В этот список входят:

• Госкорпорации и госкомпании
• Публично-правовые компании
• Организации в сфере ЖКХ, АО и ООО, в уставном капитале которых доля участия государства, субъекта РФ или муниципального образования больше 50%
• Бюджетные учреждения
• Некоторые особо значимые федеральные государственные унитарные предприятия: научные центры, заводы, комбинаты, институты (полный перечень в распоряжении правительства от 31.12.2016 № 2931-р)
• Государственные и муниципальные учреждения

В соответствии с установленными правилами все структуры, финансируемые государством, должны применять ПО российского производства. Это касается учебных заведений, медицинских организаций и органов управления на всех уровнях. Успешные примеры перехода: развёртывание отечественных офисных программ, систем управления документацией и обучающих платформ в школах и университетах.

Однако не все государственные учреждения и компании подпадают под юрисдикцию указа № 166. Его действие распространяется исключительно на те структуры, в ведении которых находятся КИИ.

• Частные компании и бизнес

Частные организации также должны рассмотреть переход на российское ПО. Особенно это касается компаний, которые работают с критической инфраструктурой или с конфиденциальной информацией. К примеру, банки и страховые фирмы активно внедряют отечественные решения для повышения уровня кибербезопасности и минимизации рисков.

Здесь же стоит отметить, что некоторые операторы персональных данных тоже должны переходить на отечественное ПО. Прежде всего, это касается государственных органов на всех уровнях (федеральном, региональном и муниципальном), а также организаций, выполняющих заказы государства или решающих задачи социального характера.

До какого времени нужно осуществить переход

Основные этапы перехода на российское программное обеспечение:

До конца 2025 года все государственные учреждения и ключевые корпоративные структуры, включая владельцев объектов КИИ, должны будут полностью перейти на использование отечественного ПО.

С 2026 года планируется завершение адаптации систем, оптимизация работы с российским программным обеспечением, усиление мер по защите данных, а также модернизация инфраструктуры.

С какими рисками могут столкнуться компании, которые не успеют перейти на российское ПО

Несвоевременный переход на отечественное ПО может вызвать серьёзные проблемы, включая утрату доступа к информации, сбои в функционировании сервисов и штрафные санкции за несоответствие требованиям законодательства. Кроме того, компании, которые продолжают применять программное обеспечение иностранного производства, могут столкнуться с трудностями при интеграции в государственные системы.

На данный момент за несоблюдение сроков в сфере импортозамещения конкретных штрафов нет. Тем не менее, существует вероятность, что за такие нарушения могут быть применены санкции в соответствии с частью 1 статьи 13.12.1 Кодекса Российской Федерации об административных правонарушениях. Эта статья устанавливает ответственность за несоблюдение норм, касающихся безопасности значимых объектов критической информационной инфраструктуры. Размер штрафа для юридических лиц может доходить до 100 тысяч рублей.

Также в Уголовном кодексе существует статья, которая устанавливает наказание за неправомерное вмешательство в критическую инфраструктуру (статья 274.1 УК РФ). Первые две части данной статьи касаются кибератак, в то время как третья часть вводит уголовную ответственность за несоблюдение правил эксплуатации объектов КИИ, если в результате этого объекта был причинён ущерб.

Служба каталогов как элемент импортозамещения

Сначала разберёмся: что такое служба каталогов, для чего она нужна и как влияет на безопасность сетевой инфраструктуры.

Служба каталогов решает проблему централизованного управления: она хранит структуру организации, пользователей со всеми их атрибутами (почта, логин, UPN-имя и др.), группы и компьютеры. Служба каталогов похожа на базу данных и позволяет хранить структурированную информацию об объектах сети – пользователях, группах, устройствах и других ресурсах.

Также служба каталогов влияет на безопасность сетевой инфраструктуры: помимо хранения и управления данными, она обеспечивает ещё и централизованную аутентификацию и авторизацию пользователей, что упрощает управление доступом и повышает общую защищённость системы.

До начала процесса импортозамещения многие компании в России использовали иностранное решение – службу каталогов Active Directory от Microsoft. Но в 2022 году из-за внешнеполитической ситуации крупные зарубежные компании, среди которых оказались Microsoft, Oracle, SAP, IBM, Adobe, Autodesk и другие, прекратили свою поддержку на территории РФ и тем самым создали значительные риски как для бизнеса, так и для государственных учреждений. Среди рисков можно выделить уязвимости в сфере информационной безопасности, а также невозможность получать обновления для используемых программ.

Отечественный рынок отреагировал на эту тенденцию молниеносно: начали активно разрабатываться российские ИТ-решения, заменяющие иностранный софт. В том числе это касается и служб каталогов.

Если вы хотите мигрировать с Active Directory, то обратите внимание на службу каталогов MULTIDIRECTORY.

MULTIDIRECTORY – российская альтернатива Active Directory

MULTIDIRECTORY от компании-разработчика МУЛЬТИФАКТОР – современная служба каталогов, которая имеет гибкие настройки сетевых политик безопасности, поддержку 2FA в Kerberos и обратную совместимость с Active Directory.

Продукт написан с нуля на языке Python и является open-source-решением. Сочетает функциональность, гибкость и возможность масштабирования. Решает множество задач, с которыми сталкиваются организации при управлении данными пользователей и группами:

• Разграничение доступа к ресурсам на основе групп безопасности
• Сброс забытых паролей пользователей через интерфейс администратора
• Администрирование сущностей (пользователи, группы, компьютеры)
• Проблемы несанкционированного доступа к ресурсам при помощи управления пользовательскими сессиями

Ключевые характеристики, которыми обладает  MULTIDIRECTORY:

Централизованное управление пользователями и правами

Администраторы могут создавать, удалять и изменять учётные записи пользователей и групп как через API, так и вручную, используя при этом интуитивно понятный веб-интерфейс.

Атрибутная схема

MULTIDIRECTORY использует схему атрибутов, аналогичную Microsoft Active Directory. Благодаря использованию аналогичной атрибутной схеме все системы распознают MULTIDIRECTORY как Active Directory, поэтому интеграции с ними (системами) происходят проще.

Гибкие настройки сетевых политик безопасности

Администратор может выбрать, для какого протокола будет действовать политика безопасности, а также гибко настроить применение 2FA к конкретной группе безопасности.

Сетевые политики и встроенная поддержка 2FA

В MULTIDIRECTORY интегрирована встроенная поддержка второго фактора, которая совместно с гибкими сетевыми политиками позволяет не только настраивать доступ к конкретным ресурсам и серверам, но и использовать второй фактор для конкретных групп безопасности и с применением на конкретные протоколы (LDAP, Kerberos, HTTP).

Режим Bypass

Если облачный сервис MULTIFACTOR оказывается временно недоступным, в MULTIDIRECTORY автоматически активируется режим Bypass. В зависимости от установленных параметров можно либо разрешить, либо запретить доступ к системе без двухфакторной аутентификации (2FA).

Почему ещё вам стоит обратить внимание на MULTIDIRECTORY

MULTIDIRECTORY – российское решение, на которое не влияют различные санкционные риски. Все серверы находятся на территории РФ, поэтому данные не выходят за пределы страны.

Помимо прочего, MULTIDIRECTORY:

1. Имеет функцию «контроль пользовательских сессий», которая позволяет вовремя выявить подозрительную активность (например:  сотрудник уволился и ему забыли заблокировать учётную запись, а он пытается совершить какие-либо действия в доступных ему корпоративных системах) и отключить доступ для конкретного пользователя к ресурсам. Если вдруг произойдёт утечка данных и злоумышленник попадёт в систему под учётной записью сотрудника, то администратор может оперативно выключить доступ для этого пользователя и тем самым предотвратить возможные инциденты.
2. Повышает уровень безопасности и защищает от несанкционированного доступа. В MULTIDIRECTORY есть поддержка двухфакторной аутентификации в Kerberos. Сам по себе протокол Kerberos уже является эффективным защитным барьером, а в тандеме с 2FA его работа увеличивает надёжность системы и защищает от различных угроз.
3. Упрощает процесс управления. В службе каталогов всё структурировано и понятно, поэтому не нужно тратить много времени на выполнение административных задач или долгий поиск каких-либо атрибутов. Также благодаря интуитивно понятному интерфейсу сокращается время на обучение пользователей.
4. Соответствует требованиям законодательства и входит в реестр отечественного ПО. Решение MULTIDIRECTORY входит в реестр российского программного обеспечения (№ 28333). Продукт разработан компанией МУЛЬТИФАКТОР. Компания – сертифицированный лицензиат ФСТЭК, соответствует международному стандарту PCI DSS – всё это подтверждает соответствие службы каталогов MULTIDIRECTORY самым строгим стандартам безопасности.

Заключение

MULTIDIRECTORY – российская служба каталогов, играет ключевую роль в управлении данными и обеспечении безопасности, является одним из лучших отечественных решений в контексте перехода на российское ПО, служит подходящей альтернативой по замене Active Directory.

Также решение MULTIDIRECTORY имеет бесплатную Community-версию, с которой вы можете ознакомиться на официальном сайте и вступить в Telegram-чат, чтобы оперативно получать ответы напрямую от разработчиков.